Adware modifiziert GET und POST Variablen mit Urls ?!

#0
09.04.2006, 15:08
...neu hier

Beiträge: 4
#1 Hallo,

immer, wenn ich mich zum Beispiel in einem Forum registriere, dort ein Profil bearbeite und ein feld mit dem Namen "url" vorkommt, wird, sofern ich dieses freilasse, einfach eine Domain an die Stelle gesetzt.

Zum Beispiel:
http://www.artfv.com
http://www.artfv.com/architecture/history/
http://www.artfv.com/animation/anime/titles/s/
http://www.artfv.com/television/programs/comedy/
http://www.recdir.com/travel/
http://freemusicfair.info/artist/filter/B/

Das Gleiche gilt für GET Variablen, also wenn ich auf einen Link klicke, der lautet:

http://www.blabla.de/forum.php?boardid=5&thread=27&url=

und sich hinter der Variable "url" kein Wert befindet, so wird dieser eben durch eine der genannten Domains ausgefüllt:

http://www.blabla.de/forum.php?boardid=5&thread=27&url=http://www.artv.com

Lavasoft Ad-Aware & Spyware SD finden nichts und im gesamten netz finde ich auch nichts über diese Problematik.

Der Fehler taucht nur im Internet Explorer auf, dort habe ich auhc alle Add-Ons deaktiviert bis auf die Java Konsole + Macromedia Flash.

Mit HiJackThis habe ich auch schon geschaut, werde aber nciht schlauer draus....

Hat irgendwer von euch eine Ahnung, was das sein könnte ??

Viele Grüße,
Marc

--------
Logfile of HijackThis v1.99.1
Scan saved at 15:03:48, on 09.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\cisvc.exe
D:\Programme\ICQPlus\vplus.exe
D:\Programme\DeeEnEs\DeeEnEs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Symantec\Ghost\ngserver.exe
D:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PGPserv.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\RealVNC\VNC4\winvnc4.exe
C:\Programme\PGP Corporation\PGP Desktop\PGPtray.exe
D:\Programme\Notizblock\Notizblock.exe
D:\Programme\SpamPal\spampal.exe
D:\Programme\Symantec\Ghost\bin\dbserv.exe
D:\Programme\Symantec\Ghost\bin\rteng7.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Dokumente und Einstellungen\Marc Diehl\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [ICQ Plus] "D:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\Run: [DeeEnEs] D:\Programme\DeeEnEs\DeeEnEs.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Notitzblock.lnk = D:\Programme\Notizblock\Notizblock.exe
O4 - Startup: SpamPal.lnk = D:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PGPtray.exe.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {3C23612F-F1C1-41AF-90E0-E63426DD7FB4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {3C23612F-F1C1-41AF-90E0-E63426DD7FB4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O15 - Trusted Zone: http://www.onlinetvrecorder.com
O15 - Trusted Zone: *.onlinetvrecorder.com
O15 - Trusted IP range: 83.142.84.2
O15 - Trusted IP range: http://83.142.84.2
O15 - Trusted IP range: http://83.142.84.3
O15 - Trusted IP range: http://83.142.84.4
O16 - DPF: {4DBB4CC1-9B1D-4CA5-9C41-613FC61EA1E6} (bildpartner_de_upload Control) - http://www.bildpartner.de/upload/bildpartner_de_upload.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B984EE33-C661-46F1-A43E-691473A48DE8}: NameServer = 88.198.0.72
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: OCMAPIHK.DLL
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: Symantec Ghost Database Service (ngdbserv) - Symantec Corporation - D:\Programme\Symantec\Ghost\bin\dbserv.exe
O23 - Service: Symantec Ghost Configuration Server (NGServer) - Symantec Corporation - D:\Programme\Symantec\Ghost\ngserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
Seitenanfang Seitenende
09.04.2006, 17:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank


PC neustarten

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.04.2006, 19:30
...neu hier

Themenstarter

Beiträge: 4
#3 Hallo,

Die Option "Delete Prefetched Files" war bei mir nciht anwählbar im Cleanup.

Hier die 4 Dateien mit 3 Monaten:



Zitat

Verzeichnis von C:\WINDOWS\system32

09.04.2006 19:24 41.237 nvapps.xml
09.04.2006 14:09 2.206 wpa.dbl
05.04.2006 18:15 1.004 KGyGaAvL.sys
26.03.2006 13:26 40.836 perfc009.dat
26.03.2006 13:26 320.094 perfh007.dat
26.03.2006 13:26 49.174 perfc007.dat
26.03.2006 13:26 314.508 perfh009.dat
26.03.2006 13:26 732.342 PerfStringBackup.INI
02.03.2006 16:18 34.064 lhacm.acm
25.01.2006 05:34 118.784 sirenacm.dll
18.01.2006 12:20 102.352 PGPlspRollback.reg
11.01.2006 11:22 415.856 FNTCACHE.DAT
08.01.2006 05:57 25.035 stub41.ini
08.01.2006 05:56 24.766 stub45.ini
08.01.2006 05:56 24.710 stub44.ini
08.01.2006 05:55 25.043 stub43.ini
08.01.2006 05:55 24.914 stub42.ini
08.01.2006 05:54 24.703 stub40.ini
08.01.2006 05:31 24.420 stub39.ini
08.01.2006 05:28 24.711 stub38.ini
07.01.2006 18:10 24.442 stub37.ini
07.01.2006 18:09 24.735 stub36.ini
07.01.2006 18:05 24.305 stub35.ini
07.01.2006 18:03 24.912 stub34.ini
07.01.2006 18:03 24.391 stub33.ini
07.01.2006 18:02 24.500 stub32.ini
07.01.2006 17:59 24.410 stub31.ini
07.01.2006 17:59 24.809 stub30.ini
07.01.2006 17:18 24.364 stub29.ini
07.01.2006 17:18 24.101 stub28.ini
07.01.2006 17:17 24.565 stub27.ini
07.01.2006 17:02 23.818 stub26.ini
07.01.2006 16:58 23.904 stub25.ini
07.01.2006 16:56 23.580 stub24.ini
07.01.2006 16:54 24.085 stub23.ini
07.01.2006 16:52 23.060 stub22.ini
07.01.2006 16:52 23.219 stub21.ini
07.01.2006 16:51 23.685 stub20.ini
07.01.2006 16:51 22.835 stub19.ini
07.01.2006 16:50 22.118 stub18.ini
07.01.2006 16:48 23.395 stub17.ini
07.01.2006 16:46 23.622 stub16.ini
07.01.2006 16:28 23.264 stub15.ini
07.01.2006 16:28 23.847 stub14.ini
07.01.2006 15:42 23.745 stub13.ini
07.01.2006 15:33 23.567 stub12.ini
07.01.2006 15:32 23.501 stub11.ini
07.01.2006 15:32 23.416 stub10.ini
07.01.2006 15:14 23.496 stub9.ini
07.01.2006 14:10 23.318 stub8.ini
07.01.2006 14:08 23.344 stub7.ini
07.01.2006 12:11 23.619 stub6.ini
07.01.2006 12:11 23.500 stub5.ini
07.01.2006 11:38 23.246 stub4.ini
07.01.2006 11:37 23.166 stub3.ini
07.01.2006 11:37 22.711 stub2.ini
07.01.2006 11:36 22.854 stub1.ini

05.01.2006 08:46 1.199 logs1.ini

Zitat

Verzeichnis von C:\DOKUME~1\MARCDI~1\LOKALE~1\Temp

09.04.2006 19:24 16.384 ~DF5D4.tmp
09.04.2006 19:24 16.384 ~DF65D5.tmp

Zitat

Verzeichnis von C:\WINDOWS

09.04.2006 19:29 16.559 uedit32.INI
09.04.2006 19:25 0 0.log
09.04.2006 19:25 577.532 WindowsUpdate.log
09.04.2006 19:24 159 wiadebug.log
09.04.2006 19:24 50 wiaservc.log
09.04.2006 19:24 2.048 bootstat.dat
09.04.2006 19:07 300.270 ntbtlog.txt
05.04.2006 16:25 887 canopus.ini
02.04.2006 03:20 5.600 cdplayer.ini
28.03.2006 16:18 370.603 setupapi.log
22.03.2006 01:26 73.216 cadkasdeinst01.exe
25.02.2006 22:49 253.952 Setup1.exe
25.02.2006 22:49 74.752 ST6UNST.EXE
21.02.2006 23:33 47.393 wmsetup.log
15.02.2006 17:15 25.131 EPSTPLOG.TXT
02.02.2006 18:28 69.632 UD.SCR
08.01.2006 14:55 599 win.ini
08.01.2006 14:55 227 system.ini
08.01.2006 14:54 118.463 iis6.log
08.01.2006 14:54 16.115 ntdtcsetup.log
08.01.2006 14:54 1.355 imsins.log
08.01.2006 14:54 1.372 tabletoc.log
08.01.2006 14:54 27.773 comsetup.log
08.01.2006 14:54 29.610 tsoc.log
08.01.2006 14:54 3.058 ocmsn.log
08.01.2006 14:54 8.237 KB912919.log
08.01.2006 14:54 4.128 medctroc.Log
08.01.2006 14:54 4.640 netfxocm.log
08.01.2006 14:54 38.039 ocgen.log
08.01.2006 14:54 2.914 msgsocm.log
08.01.2006 14:54 47.300 FaxSetup.log
08.01.2006 14:54 27.198 msmqinst.log
08.01.2006 14:54 462 updspapi.log
07.01.2006 06:12 197.761 cyuwo.txt


Zitat

Verzeichnis von C:\

09.04.2006 19:29 0 sys.txt
09.04.2006 19:29 6.205 system.txt
09.04.2006 19:28 334 systemtemp.txt
09.04.2006 19:25 105.940 system32.txt
09.04.2006 19:24 805.306.368 pagefile.sys
04.02.2006 22:17 2.327 bla.txt
19.01.2006 00:21 237.513 glory.jpg
18.01.2006 17:00 221 id_rsa_ggwadmin.pub
18.01.2006 16:59 873 ggw.ppk
17.01.2006 23:25 2.437 id_rsa.ppk.pgp
08.01.2006 14:55 211 boot.ini
29.12.2005 16:29 15 _auditt.txt
28.12.2005 15:40 45 TEST.XML
21.12.2005 14:54 951 id_rsa_ggwadmin
28.11.2005 22:37 511.686.656 PALAST_REVEU_KONZERT.ISO
28.11.2005 16:21 47.564 NTDETECT.COM
28.11.2005 16:21 251.184 ntldr
28.11.2005 15:41 600 PUTTY.RND
25.11.2005 21:42 843 id_rsa.ppk
24.11.2005 23:39 271.055 GoingUpstream.jpg
24.11.2005 22:08 0 IO.SYS
24.11.2005 22:08 0 CONFIG.SYS
24.11.2005 22:08 0 MSDOS.SYS
24.11.2005 22:08 0 AUTOEXEC.BAT
18.08.2001 14:00 4.952 bootfont.bin
Liebe Grüße,
marc
Seitenanfang Seitenende
09.04.2006, 22:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 poste das 1 Log noch mal...bis Dezember -> Verzeichnis von C:\WINDOWS\system32
+

http://virus-protect.org/artikel/tools/ADSSpy.exe
Klicke config -> Misc Tools -> Oeffne ADS spy -> Uncheck quickscan -> Click Scan -> Save log
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2006, 02:53
...neu hier

Themenstarter

Beiträge: 4
#5 Hallo,

Hier das Log bis Dezember:

Zitat

Verzeichnis von C:\WINDOWS\system32

09.04.2006 19:24 41.237 nvapps.xml
09.04.2006 14:09 2.206 wpa.dbl
05.04.2006 18:15 1.004 KGyGaAvL.sys
26.03.2006 13:26 40.836 perfc009.dat
26.03.2006 13:26 320.094 perfh007.dat
26.03.2006 13:26 49.174 perfc007.dat
26.03.2006 13:26 314.508 perfh009.dat
26.03.2006 13:26 732.342 PerfStringBackup.INI
02.03.2006 16:18 34.064 lhacm.acm
25.01.2006 05:34 118.784 sirenacm.dll
18.01.2006 12:20 102.352 PGPlspRollback.reg
11.01.2006 11:22 415.856 FNTCACHE.DAT
08.01.2006 05:57 25.035 stub41.ini
08.01.2006 05:56 24.766 stub45.ini
08.01.2006 05:56 24.710 stub44.ini
08.01.2006 05:55 25.043 stub43.ini
08.01.2006 05:55 24.914 stub42.ini
08.01.2006 05:54 24.703 stub40.ini
08.01.2006 05:31 24.420 stub39.ini
08.01.2006 05:28 24.711 stub38.ini
07.01.2006 18:10 24.442 stub37.ini
07.01.2006 18:09 24.735 stub36.ini
07.01.2006 18:05 24.305 stub35.ini
07.01.2006 18:03 24.912 stub34.ini
07.01.2006 18:03 24.391 stub33.ini
07.01.2006 18:02 24.500 stub32.ini
07.01.2006 17:59 24.410 stub31.ini
07.01.2006 17:59 24.809 stub30.ini
07.01.2006 17:18 24.364 stub29.ini
07.01.2006 17:18 24.101 stub28.ini
07.01.2006 17:17 24.565 stub27.ini
07.01.2006 17:02 23.818 stub26.ini
07.01.2006 16:58 23.904 stub25.ini
07.01.2006 16:56 23.580 stub24.ini
07.01.2006 16:54 24.085 stub23.ini
07.01.2006 16:52 23.060 stub22.ini
07.01.2006 16:52 23.219 stub21.ini
07.01.2006 16:51 23.685 stub20.ini
07.01.2006 16:51 22.835 stub19.ini
07.01.2006 16:50 22.118 stub18.ini
07.01.2006 16:48 23.395 stub17.ini
07.01.2006 16:46 23.622 stub16.ini
07.01.2006 16:28 23.264 stub15.ini
07.01.2006 16:28 23.847 stub14.ini
07.01.2006 15:42 23.745 stub13.ini
07.01.2006 15:33 23.567 stub12.ini
07.01.2006 15:32 23.501 stub11.ini
07.01.2006 15:32 23.416 stub10.ini
07.01.2006 15:14 23.496 stub9.ini
07.01.2006 14:10 23.318 stub8.ini
07.01.2006 14:08 23.344 stub7.ini
07.01.2006 12:11 23.619 stub6.ini
07.01.2006 12:11 23.500 stub5.ini
07.01.2006 11:38 23.246 stub4.ini
07.01.2006 11:37 23.166 stub3.ini
07.01.2006 11:37 22.711 stub2.ini
07.01.2006 11:36 22.854 stub1.ini
05.01.2006 08:46 1.199 logs1.ini
30.12.2005 21:18 180.224 xvidvfw.dll
30.12.2005 21:10 761.856 xvidcore.dll
29.12.2005 04:54 280.064 gdi32.dll
22.12.2005 22:31 6.144 ff_vfw.dll
20.12.2005 15:58 7.006 jupdate-1.5.0_06-b05.log
16.12.2005 19:14 49.152 ocmapihk.dll
16.12.2005 19:14 113.152 PGPmn.dll
16.12.2005 19:12 49.664 PGPlsp.dll
16.12.2005 19:10 225.280 pgpgw.dll
16.12.2005 19:09 209.920 PGPoe.dll
16.12.2005 19:09 819.200 PGPproxy.dll
16.12.2005 19:09 570.368 PGPdskUI.dll
16.12.2005 19:07 373.760 PGPdskEn.dll
16.12.2005 19:07 3.179.520 PGPsc.dll
16.12.2005 19:06 3.089.408 PGPcl.dll
16.12.2005 19:05 73.728 PGPserv.exe
16.12.2005 19:05 35.840 PGPhk.dll
16.12.2005 19:04 309.760 PGPsdkUI.dll
16.12.2005 19:04 201.216 PGPwd.dll
16.12.2005 19:04 379.392 PGPsdkNL.dll
16.12.2005 19:03 124.416 pgpsdkm.dll
16.12.2005 19:03 1.496.064 PGPsdk.dll
16.12.2005 19:01 54.784 PGPtcl11.dll
12.12.2005 19:34 0 logs2.ini
02.12.2005 17:42 630.784 vp7vfw.dll
28.11.2005 17:11 176.167 rmoc3260.dll
28.11.2005 17:11 6.656 pndx5016.dll
28.11.2005 17:11 5.632 pndx5032.dll
28.11.2005 17:11 278.528 pncrt.dll
28.11.2005 17:03 33 cnpsedufet30.EXT
28.11.2005 17:02 3.163 qtplugin.log
28.11.2005 16:39 247 spupdwxp.log
27.11.2005 18:46 16.832 amcompat.tlb
27.11.2005 18:46 23.392 nscompat.tlb
25.11.2005 00:56 5.618 jupdate-1.5.0_05-b05.log
Das Log von ADS im Anhang (allerdings konnte ich da nirgendwo auf options klicken, bei mir kam direkt das programmfenster, wo cih dann quick check deaktivierte und das log gespeichert habe)

Viele Grüße,
Marc

Anhang: log23.txt
Seitenanfang Seitenende
10.04.2006, 11:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 AlphaSky

http://virus-protect.org/artikel/spyware/trojanagenteo.html
http://virus-protect.org/artikel/spyware/trojanagent2.html

1.
SmitRem2.8 (laden und auf dem desktop entpacken)
http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 11Fßä.#·ºÄÖ`I]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY__11F*00DF*00E4*0006#*00B7*00BA*00C4*00D6`I\0000]
3.
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ............

C:\WINDOWS\system32\lhacm.acm
C:\WINDOWS\system32\stub41.ini
C:\WINDOWS\system32\stub45.ini
C:\WINDOWS\system32\stub44.ini
C:\WINDOWS\system32\stub43.ini
C:\WINDOWS\system32\stub42.ini

natuerlich ohne das datum in die killbox kopieren...ich bin nur zu faul alles wegzunehmen... ;)

08.01.2006 05:54 24.703 C:\WINDOWS\system32\stub40.ini
08.01.2006 05:31 24.420 C:\WINDOWS\system32\stub39.ini
08.01.2006 05:28 24.711 C:\WINDOWS\system32\stub38.ini
07.01.2006 18:10 24.442 C:\WINDOWS\system32\stub37.ini
07.01.2006 18:09 24.735 C:\WINDOWS\system32\stub36.ini
07.01.2006 18:05 24.305 C:\WINDOWS\system32\stub35.ini
07.01.2006 18:03 24.912 C:\WINDOWS\system32\stub34.ini
07.01.2006 18:03 24.391 C:\WINDOWS\system32\stub33.ini
07.01.2006 18:02 24.500 C:\WINDOWS\system32stub32.ini
07.01.2006 17:59 24.410 C:\WINDOWS\system32\stub31.ini
07.01.2006 17:59 24.809 C:\WINDOWS\system32\stub30.ini
07.01.2006 17:18 24.364 C:\WINDOWS\system32\stub29.ini
07.01.2006 17:18 24.101 C:\WINDOWS\system32\stub28.ini
07.01.2006 17:17 24.565 C:\WINDOWS\system32\stub27.ini
07.01.2006 17:02 23.818 C:\WINDOWS\system32\stub26.ini
07.01.2006 16:58 23.904 C:\WINDOWS\system32\stub25.ini
07.01.2006 16:56 23.580 C:\WINDOWS\system32\stub24.ini
07.01.2006 16:54 24.085 C:\WINDOWS\system32\stub23.ini
07.01.2006 16:52 23.060 C:\WINDOWS\system32\stub22.ini
07.01.2006 16:52 23.219 C:\WINDOWS\system32stub21.ini
07.01.2006 16:51 23.685 C:\WINDOWS\system32\stub20.ini
C:\WINDOWS\system32\stub19.ini
C:\WINDOWS\system32\stub18.ini
C:\WINDOWS\system32\stub17.ini
C:\WINDOWS\system32\stub16.ini
C:\WINDOWS\system32\stub15.ini
C:\WINDOWS\system32\stub14.ini
C:\WINDOWS\system32\stub13.ini
C:\WINDOWS\system32\stub12.ini
C:\WINDOWS\system32stub11.ini
C:\WINDOWS\system32\stub10.ini
C:\WINDOWS\system32\stub9.ini
C:\WINDOWS\system32\stub8.ini
C:\WINDOWS\system32\msmqinst.log
C:\WINDOWS\system32\updspapi.log
C:\WINDOWS\system32\cyuwo.txt
C:\WINDOWS\system32\stub7.ini
C:\WINDOWS\system32stub6.ini
C:\WINDOWS\system32\stub5.ini
C:\WINDOWS\system32\stub4.ini
C:\WINDOWS\system32\stub3.ini
C:\WINDOWS\system32\stub2.ini
C:\WINDOWS\system32\stub1.ini
C:\WINDOWS\system32\logs1.ini
C:\WINDOWS\system32\logs2.ini
C:\bla.txt
C:\WINDOWS\cadkasdeinst01.exe

PC neustarten

4.
AboutBuster
http://virus-protect.org/antispytools.html
* Alle Dateien in einen Ordner entpacken
* die Readme Datei lesen

5.
starte in den abgesicherten Modus (XP/Win2000 "F8" druecken, wenn der PC bootet)

6.
und die fixme.reg doppelt klicken --> mit "ja" der Regisytry beifuegen

AboutBuster
* Klicke auf "Start".
(Warte bis der initiale ADS Scan fertig ist.)
* Klicke "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
(Warte bis der about:blank Scan fertig ist.)
* Klicke auf "Ok", um den Scan nochmal laufen zu lassen.
* Klicke auf "Yes", um zu erlauben, dass jede IE-Anwendung beendet wird.
* Klicke auf "Yes", um die zweite Runde zu beginnen.
* Klicke auf "Save log" (speichere das Logfile).--> hier posten
* Klicke auf "Exit".

---------------------------------------------------------------------------
7..
öffne smitRem ,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal

-----------------------------------------------------------------------
8.
counterspy
http://virus-protect.org/counterspy.html

* nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove --> Status: Deleted
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab

----------------------------------------------------------------------
9.
kopiere den scanreport
http://virus-protect.org/artikel/tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2006, 15:04
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo,

CounterSpy:

Zitat

Spyware Scan Details
Start Date: 10.04.2006 13:00:10
End Date: 10.04.2006 13:58:21
Total Time: 58 mins 11 secs

Detected spyware

RealVNC Commercial Remote Control more information...
Details: VNC (Virtual Network Computing) software makes it possible to view and fully-interact with one computer from any other computer or mobile device anywhere on the Internet.
Status: Ignored

Infected files detected
D:\Programme\RealVNC\VNC4\winvnc4.exe
G:\Programme\RealVNC\VNC4\logmessages.dll
G:\Programme\RealVNC\VNC4\winvnc4.exe
G:\Programme\RealVNC\VNC4\wm_hooks.dll
G:\Programme\RealVNC\WinVNC\vnchooks.dll
G:\Programme\RealVNC\WinVNC\winvnc.exe

Infected registry entries detected
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4\Security Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4\Enum 0 Root\LEGACY_WINVNC4\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4\Enum Count 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4\Enum NextInstance 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4 Type 272
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4 Start 2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4 ErrorControl 0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4 ImagePath "D:\Programme\RealVNC\VNC4\winvnc4.exe" -service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4 DisplayName VNC Server Version 4
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4 ObjectName LocalSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinVNC4 FailureActions
HKEY_LOCAL_MACHINE\Software\RealVNC
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 Password
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 SecurityTypes VncAuth
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 ReverseSecurityTypes None
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 QueryConnect 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 QueryOnlyIfLoggedOn 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 PortNumber 5900
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 IdleTimeout 3600
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 HTTPPortNumber 5901
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 LocalHost 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 Hosts +,
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 AcceptKeyEvents 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 AcceptPointerEvents 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 AcceptCutText 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 SendCutText 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 DisableLocalInputs 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 DisconnectAction Lock
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 RemoveWallpaper 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 RemovePattern 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 DisableEffects 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 UpdateMethod 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 PollConsoleWindows 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 UseCaptureBlt 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 UseHooks 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 Protocol3.3 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 DisconnectClients 1
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 AlwaysShared 0
HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4 NeverShared 0


Neoturk RAT more information...
Status: Deleted

Infected files detected
E:\Sierra\cstrike\sound\misc\hastalavista.wav


XMas 2000 Mail Bomber E-Mail Flooder more information...
Status: Deleted

Infected files detected
F:\Eigene Dateien\Kram\Icon\README.TXT
F:\Eigene Dateien\Kram\Icon\Download\Archiv\Bomber\Xmas\ERROR.MSG
F:\Eigene Dateien\Kram\Icon\Download\Archiv\Bomber\Xmas\HOTMAIL4.HTM
F:\Eigene Dateien\Kram\Icon\Download\Archiv\Bomber\Xmas\README.TXT
F:\Eigene Dateien\Kram\Icon\Download\Archiv\Bomber\Xmas\WIN2000.DOC
F:\Eigene Dateien\Kram\Icon\Download\Archiv\Bomber\Xmas\YAHOO1.HTM
F:\Eigene Dateien\Kram\Icon\Download\Archiv\Bomber\Xmas\yahoopwd.htm
F:\Eigene Dateien\Kram\Icon\Download\Archiv\Bomber\Xmas\yh.cgi


Cyn v2.1 Backdoor more information...
Details: Cyn is a Backdoor Trojan that gives an attacker unauthorized access to an infected computer. By default it opens ports 15432 and 51234 on the compromised computer.
Status: Deleted

Infected files detected
G:\pp\bin\win32\upx.exe


Download Accelerator Plus Low Risk Adware more information...
Details: Download Accelerator Plus (DAP) is an advertising-supported download manager program from SpeedBit.com.
Status: Deleted

Infected files detected
G:\Programme\DAP\cabex.dll
G:\Programme\DAP\DAPBHO.dll
G:\Programme\DAP\dapextie.htm
G:\Programme\DAP\dapie.dll
G:\Programme\DAP\DAPIEBar.dll
G:\Programme\DAP\dapns.dll
G:\Programme\DAP\dapop.dll
G:\Programme\DAP\dapupd.exe
G:\Programme\DAP\Skins\dap\DAP.uis


SubSeven RAT more information...
Status: Deleted

Infected files detected
G:\Programme\ICQno\Received Files\Franky\tutorial.txt
G:\Programme\ICQno\Received Files\Miskovsky\sub7gold\bothelptext.txt


Unclassified.Spyware.Loader Spyware more information...
Details: Spyware.Loader is spyware that is set to automatically start when Windows loads up by hiding itself in a number of different startup locations.
Status: Deleted

Infected files detected
G:\Programme\Im Dschungel der kleinsten Teilchen\insthlp.dat


Adw.PSGuard Adware more information...
Details: PSGuard is a fraudulent anti-spyware program which uses desktop advertising to scare users into paying for the product.
Status: Deleted

Infected registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}
HKEY_CLASSES_ROOT\CLSID\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}


Trojan.intell32 Trojan more information...
Status: Deleted

Infected registry entries detected
HKEY_CLASSES_ROOT\clsid\{357A87ED-3E5D-437d-B334-DEB7EB4982A3}

Zitat

AboutBuster 6.01
Scan started on [10.04.2006] at [12:42:45]
-------------------------------------------------------------
Internet Explorer Instances Terminated!
HomeSearch Service stopped if present
-------------------------------------------------------------
No Ads Found!
-------------------------------------------------------------
No Files Found!
-------------------------------------------------------------
Scan was COMPLETED SUCCESSFULLY at 12:44:59
Also ich habe das jetzt mal überprüft, es scheint weg zu sein.
War es das jetzt oder muss noch etwas überprüft werden ?

Viele grüße,
Marc
Seitenanfang Seitenende
10.04.2006, 15:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(nach der Reinigung wieder aktivieren)

2.
scanne mit panda und mit Kaspersky und poste beide scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende